JP2005110112A - 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。 - Google Patents

通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。 Download PDF

Info

Publication number
JP2005110112A
JP2005110112A JP2003343299A JP2003343299A JP2005110112A JP 2005110112 A JP2005110112 A JP 2005110112A JP 2003343299 A JP2003343299 A JP 2003343299A JP 2003343299 A JP2003343299 A JP 2003343299A JP 2005110112 A JP2005110112 A JP 2005110112A
Authority
JP
Japan
Prior art keywords
authentication
base station
network
communication
wireless communication
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2003343299A
Other languages
English (en)
Inventor
Hiroaki Watabe
浩章 渡部
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NEC Corp
Original Assignee
NEC Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NEC Corp filed Critical NEC Corp
Priority to JP2003343299A priority Critical patent/JP2005110112A/ja
Priority to EP04023338A priority patent/EP1521491A2/en
Priority to US10/953,015 priority patent/US20050076244A1/en
Priority to CNA2004100807322A priority patent/CN1604520A/zh
Publication of JP2005110112A publication Critical patent/JP2005110112A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/06Authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic

Abstract

【課題】無線アクセスシステムにおける端末局の認証において、認証開始から認証終了までの認証処理時間を短縮し、認証処理時間の通信中断による通信品質の劣化を防止する。また、認証処理時間の短縮により、端末局のネットワークへの接続を簡便化する。
【解決手段】認証サーバ又は基地局によってネットワークとの通信を許可された端末局に対して認証チケットが配布される。認証チケットを有する端末局は、基地局に帰属する際に認証チケットを送信することにより、認証サーバを使用せずに、基地局との間で認証処理を完了することができる。
【選択図】 図2

Description

本発明は、無線通信装置が無線通信を介してネットワークと通信する通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置に関する。特に、無線通信装置がネットワークとの通信の許可を受けるための認証において、セキュリティの保持及び認証処理時間の短縮を同時に可能とする、無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置に関する。
今日、無線通信技術の発展により、無線ローカルエリアネットワーク(Wireless Local Area Network: 無線LAN)や携帯電話といった無線通信を利用した無線アクセスシステムが広く普及している。これらの無線アクセスシステムは、企業内や家庭内といった私設ネットワークにおいてのみならず、公衆ネットワークにおいての展開も始まっている。
無線アクセスシステムはネットワークと通信する利用者の移動性が高いという利点を有する一方、有線アクセスシステムに比べ傍受や詐称が容易であるという欠点を有する。従って、無線アクセスシステムにおいては、セキュリティ施策が有線アクセスシステム以上に重要となる。
以下に、無線LANアクセスシステムを例として、無線アクセスシステムにおけるセキュリティ施策について説明する。
無線LANアクセスシステムは、ネットワーク、基地局、認証サーバ及び端末局から構成される。ネットワークはインターネットに接続されたLANのような有線ネットワークである。ここでは、ネットワーク上に接続している基地局以外の通信装置や他のネットワークを含めてネットワークと呼ぶ。基地局はネットワーク及び認証サーバと接続されている。認証サーバはネットワークに接続される端末局の正当性を判断し、接続を認証するものである。端末局は利用者の利用する通信端末であり、基地局と無線通信し、基地局を介してネットワーク、認証サーバ及び他の端末局と通信するものである。端末局が基地局と無線通信することができる地域的範囲を無線アクセスサービスエリアと呼ぶ。
無線LANアクセスシステムは、IEEE(Institute of Electrical and Electronics Engineers :米国、電気/電子技術者協会)802委員会によって策定され、 IEEE 802.11と名づけられた技術仕様(非特許文献1)が標準仕様となっている。しかし、 IEEE 802.11では主に無線空間における端末局と基地局、あるいは基地局と基地局のLAN接続方式を仕様として定義しており、セキュリティ仕様の脆弱性が多々指摘されている。
このIEEE 802.11におけるセキュリティ仕様の脆弱性を補強するという観点から、同じIEEE 802委員会が策定したIEEE802.1X (非特許文献2)というセキュリティ技術仕様が定義されており、端末局が基地局へ接続する際の端末局認証の事実上の標準仕様として広く採用されている。IEEE802.1Xはもともと有線LAN媒体を共有して接続する通信装置の認証技術を仕様として策定しており、Wi-Fiアライアンスという団体がこの仕様を無線LANに対して拡張したWPA(Wi-Fi Protected Access)(非特許文献3)という規格を定義している。いずれも無線LANアクセスにおけるセキュリティ施策のうち、特に端末局認証の方式や手順を仕様として定義しており、標準仕様として広く採用されている。
以下に、IEEE802.1XやWPAにおける端末局の認証処理を説明する。端末局はネットワークとの通信を開始すべく、基地局のうちのいずれかに帰属(IEEE802.11におけるAssociationに対応)する。基地局は端末局の帰属を検出すると、帰属してきた端末局をネットワークへの接続を許可できるか否かを認証サーバに問い合わせる。認証サーバが、予め登録されている識別情報をもとに端末局が正当なものであることを確認した場合、認証完了または認証成功メッセージが帰属した基地局を通じて端末局へ通知され、基地局は認証された端末局に対して通信ポートを開放する。端末局は認証成功を受けて基地局を介した通信を開始する。
この端末局の認証処理では、端末局、基地局、及び認証サーバの間でいくつかの情報の交換が必要となる。認証サーバが基地局からネットワークを介して地理的に離れた位置に設置されている場合は、これらの情報は有線あるいは無線通信によって交換されるため、通信における伝送遅延及び装置や局における処理遅延によって、認証開始から終了までに相当の認証処理時間がかかることになる。また、認証における情報は他の通信トラフィックと同じ優先度で扱われるため、通信トラフィックが混雑している場合は伝送遅延が増加し、認証処理時間はさらに長くなる。端末局は一連の認証処理が完全に終了するまで、ネットワークへの接続が許可されないため、ネットワークと通信することができない。従って、認証処理時間の長期化によって、以下のような問題が生じる。
第一に、ハンドオーバーの際に通信品質上の問題が生じる。端末局が移動しながらネットワークと通信をする場合を考える。端末局は、帰属している基地局に対応する無線アクセスサービスエリアから異なる基地局に対応する無線アクセスサービスエリアへと移動する。この際、端末局は帰属する基地局を切り換える、即ちハンドオーバーを行う必要がある。ハンドオーバーの際には、端末局は帰属している基地局への帰属を解除し、移動先の基地局へ新たに帰属する。IEEE802.1XやWPAに従う場合、端末局は、新たな帰属に伴い移動先の基地局を介して認証サーバとの間で認証処理を実行する。この際、ハンドオーバー自体に要する時間、即ち帰属の切り換えに要する時間に加えて、上記の認証処理時間中は、端末局とネットワークとの間の通信が通信プロトコルの物理層において中断することになる。
通常、ハンドオーバー自体に要する時間の物理層における通信中断は、通信プロトコルの上位層の機能よって補償できる程度であり、通信の当事者に認識されることはない。しかし、上記の認証処理時間の物理層における通信中断は、上位層においても補償不可能な程度となることがある。例えば、端末局が、音声や画像のような連続性及びリアルタイム性を必要とするデータを扱う通信を行っている場合には、ハンドオーバーに伴う認証によって、上位層における通信に品質の劣化が生じる。最悪の場合には上位層においても通信が切断されることとなる。
第二に、端末局が基地局への帰属を一端解除し、同一の基地局に再度帰属した際にも、上記の認証処理を実行する必要があるという問題を生じる。正当な端末局が直前まで帰属していた基地局に再度帰属するだけであるにもかかわらず、上記の認証処理が完了するまでネットワークとの通信を開始することができないのは、端末局の利用者にとって不便である。
上記の問題を解決するためには、認証処理時間を短縮する必要がある。また、無線アクセスシステムの性質上、単に認証処理時間を短縮するだけでなく、十分なセキュリティを保持することも必要となる。さらに、IEEE802.1XやWPAが標準仕様として広く採用されている現状を考慮すると、IEEE802.1XやWPAの方式を採用するシステムと互換性を持った方法で上記の問題を解決することも必要となる。これに対して以下のような従来技術がある。
例えば、各基地局に帰属する可能性のある全ての端末局の識別情報を装備し、認証サーバを使用せずに、各基地局において端末局を認証する方法がある(特許文献1乃至4)。この基地局で認証を行う方法によれば、基地局と端末局との間の情報交換のみによって認証を行うことができるため、IEEE802.1XやWPAの方式に比べて認証処理時間を短縮することができる。
しかし、この方法には以下のような問題がある。複数の基地局を備え、多数の端末局が広い地域的範囲において無線アクセス可能な無線アクセスシステムにおいては、識別情報が膨大な量となる。また、セキュリティ向上やアクセス可能な端末局の追加や削除のために、システム運用中にも全ての基地局に対して識別情報の更新、追加、削除を行う必要がある。従って、上記の基地局で認証を行う方法では、システムの実装/管理に過大なコスト/手間を要するという問題がある。さらに、認証サーバを使用しないため、標準仕様であるIEEE802.1XやWPAの方式を採用するシステムと互換性がないという問題もある。
また、ハンドオーバー前の基地局からハンドオーバー後の基地局に対して識別情報を転送し、認証サーバを使用せずに各基地局において端末局を認証する方法がある(特許文献5)。この方法によれば、認証サーバを介することによる処理遅延、伝送遅延を排除することが可能であり、IEEE802.1XやWPAの方式に比べて認証処理時間を短縮することができる。
しかし、この方法では、ハンドオーバー前の基地局とハンドオーバー後の基地局との間の情報交換のための通信が発生し、認証処理時間を効果的に短縮することができないという問題がある。さらに、認証サーバを使用しないため、標準仕様であるIEEE802.1XやWPAの方式を採用するシステムと互換性がないという問題もある。
これらの他にも、無線LANアクセスシステムにおけるハンドオーバー時の認証方法(特許文献6)、認証処理の簡素化方法(特許文献7)、セキュリティの高い認証方法(特許文献8)に関する技術がある。しかし、これらは、帰属切り換えのようなネットワークへの再接続の場合であっても、常に認証サーバを使用する認証方法を提供するものであって、上記の認証処理時間の問題を解決するものではない。
特開平6−261043 特開2003−5641 特開2003−101545 特開2002−198971 特表2003−516000 特開2003−60653 特開2001−144821 特開2001−111544 ANSI/IEEE std 802.11, 1999 Edition, Local and metropolitan area networks Specific requirements Part 11:Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications. IEEE802.1X, Standards for Local and Metropolitan Area Networks: Standard for Port based Network Access Control. Wi-Fi Protected Access (WPA), Version 1.2.
上記のように、無線アクセスシステムにおける端末局の認証方式には以下の課題があった。
標準仕様として広く採用されている、IEEE802.1XやWPAのような端末局認証方式においては、端末局、基地局及び認証サーバの間で情報を交換し、認証処理を実行する必要がある。認証サーバが基地局からネットワークを介して地理的に離れた位置に設置されている場合は、これら情報交換は有線又は無線通信を介して行われるため、各装置、局における処理遅延、通信における伝送遅延によって、認証開始から認証終了までに相当の認証処理時間を要する。認証処理時間の間、端末局はネットワークと通信することができない。また、この認証は端末局が基地局に帰属し、ネットワークと通信を開始する度に実行される。従って、ハンドオーバーの際に通信品質が劣化するという課題がある。特に、音声や映像のような連続性及びリアルタイム性を必要とするデータを扱う通信においては顕著な課題となる。
また、端末局が基地局への帰属を一端解除し、同一の基地局に再度帰属した際にも、当然に上記の認証処理を実行する必要がある。従って、正当な端末局が直前まで帰属していた基地局に再度帰属するだけであるにもかかわらず、上記の認証処理時間の間はネットワークとの通信を開始することができないこととなり、端末局の利用者にとって不便になるという課題がある。
上記の問題を解決するためには、認証処理時間を短縮する必要がある。また、無線アクセスシステムの性質上、単に認証処理時間を短縮するだけでなく十分なセキュリティを保持することも必要となる。さらに、IEEE802.1XやWPAのような標準仕様が広く採用されている現状を考慮すると、IEEE802.1XやWPAのような方式を採用するシステムと互換性を持った方法で上記の問題を解決することも必要となる。
これに対して、各基地局に帰属する可能性のある全ての端末局の識別情報を装備し、認証サーバを使用せずに各基地局において端末局を認証する方法がある。しかし、この方法によっては、認証処理時間の短縮を図ることはできるものの、システムの実装/ 管理に過大なコスト/手間を要するという課題がある。さらに、認証サーバを使用しないため、標準仕様であるIEEE802.1XやWPAのような方式と互換性がないという課題もある。
また、ハンドオーバー前の基地局からハンドオーバー後の基地局に対して識別情報を転送し、認証サーバを使用せずに各基地局において端末局を認証する方法もある。しかし、この方法では、ハンドオーバー前の基地局とハンドオーバー後の基地局との間の情報交換のための通信が発生し、認証処理時間を効果的に短縮することができないという課題がある。さらに、認証サーバを使用しないため、標準仕様であるIEEE802.1XやWPAのような方式と互換性がないという課題もある
上記の課題を解決するために、本発明の認証方法は、少なくとも1つの基地局と前記基地局と接続されたネットワークと前記基地局と接続された認証サーバとを含む通信システムにおいて、前記基地局のいずれかとの無線通信を介して前記ネットワークと通信する端末局の認証方法であって、前記端末局が、認証サーバとの間で、前記端末局が前記ネットワークとの通信の開始を許可されるために必要な第1の認証処理を実行する。さらに、前記端末局が、前記第1の認証処理の結果に基づいて、前記基地局のいずれかを介して前記ネットワークとの間の通信を開始する。また、前記認証サーバが、前記第1の認証処理の結果に基づいて前記端末局と前記ネットワークとの通信を許可したことを示す認証チケットを前記端末局に対して送信する。また、前記端末局が、前記認証チケットを記憶する。さらに、前記端末局が、前記基地局のいずれかとの通信を終了した後、再度前記基地局のいずれかを介して前記ネットワークとの通信を開始するにあたって、前記認証チケットを前記基地局のいずれかに送信する。また、認証チケットを受信した前記基地局が、前記端末局との間で、前記認証サーバを介さずに、前記第1の認証処理と異なる、前記認証チケットに基づいた第2の認証処理を実行する。さらに、前記端末局が、前記第2の認証処理の結果に基づいて前記ネットワークとの通信を開始することを特徴とする。
本発明の無線通信装置は、少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおいて、前記基地局を介して前記ネットワークと通信する無線通信装置であって、前記ネットワークとの通信の開始に必要な第1の認証処理を開始し、前記第1の認証処理の結果に基づいて前記ネットワークとの通信を開始し、前記第1の認証処理の結果に基づく認証情報を記憶することを特徴とする。
また、前記ネットワークとの通信の開始に必要な前記認証情報を記憶している場合に、前記第1の認証処理と異なる第2の認証処理を開始することを特徴とする。
本発明の無線通信装置は、少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおいて、前記基地局を介して前記ネットワークと通信する無線通信装置であって、前記ネットワークとの通信を開始するに際し、前記ネットワークとの通信に必要な認証情報を記憶していない場合に第1の認証処理を開始し、前記認証情報を記憶している場合に前記第1の認証処理とは異なる第2の認証処理を開始することを特徴とする。
また、前記第2の認証処理の結果に基づいて前記ネットワークとの通信を開始し、前記ネットワークとの通信と並行して前記第1の認証処理を開始することを特徴とする。
また、前記第2の認証処理において、前記認証情報を前記基地局に対して送信することを特徴とする。
また、前記認証情報が、当該無線通信装置が当該認証情報を前記基地局に対して送信した日時に関する時刻情報を含むことを特徴とする。
さらに、前記認証情報が暗号化情報を含み、前記認証情報を前記暗号化情報によって暗号化処理を施して前記基地局に対して送信することを特徴とする。
また、前記認証情報が、当該無線通信装置のID情報と、前記認証情報の有効期間情報と、前記認証情報の有効範囲情報とのうち少なくとも1つを含むことを特徴とする。
また、前記第1の認証処理を前記基地局と接続された認証装置との間で実行し、前記認証情報が、前記認証装置から送信され、前記認証装置が設定する証明情報を含むことを特徴とする。
また、前記第1の認証処理を前記基地局との間で実行し、前記認証情報が前記基地局から送信され、前記基地局が設定する証明情報を含むことを特徴とする。
さらに、前記認証情報が無効となった場合に前記第1の認証処理を再度開始することを特徴とする。
本発明の無線通信装置は、少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおいて、前記基地局のいずれかを介して前記ネットワークと通信する無線通信装置であって、前記ネットワークとの通信の開始に必要な第1の認証処理を開始する手段と、前記第1の認証処理の結果に基づいて前記基地局のいずれかを介して前記ネットワークとの間の通信を開始する手段と、前記第1の認証処理の結果に基づく認証情報を記憶する手段と、前記基地局のいずれかとの通信を終了した後、再度前記基地局のいずれかを介して前記ネットワークとの通信を開始するにあたって、前記第1の認証処理と異なる第2の認証処理を実行するために前記認証情報を前記基地局のいずれかに対して送信する手段と、を備えることを特徴とする。
本発明の基地局は、ネットワークと、前記ネットワークと通信する無線通信装置とを含む通信システムにおいて、前記ネットワークと接続され前記無線通信装置と通信する基地局であって、前記無線通信装置が前記ネットワークとの通信を許可されたことを示す認証情報が前記無線通信装置から送信されない場合は、前記無線通信装置が前記ネットワークとの通信を開始するために必要な第1の認証処理を開始し、前記無線通信装置から前記認証情報が送信された場合は、前記認証情報に基づいて前記第一の認証処理とは異なる第2の認証処理を開始し、前記第1の認証処理又は前記第2の認証処理の結果に基づいて前記無線通信装置と前記ネットワークとの通信を許可することを特徴とする。
本発明の認証装置は、少なくとも1つの基地局と前記基地局と接続されたネットワークと前記基地局を介して前記ネットワークと通信する無線通信装置とを含む通信システムにおいて、前記基地局と接続された認証装置であって、前記無線通信装置が前記ネットワークとの通信を開始するために必要な認証処理を開始し、前記認証処理の結果に基づいて前記無線通信装置に対して認証情報を送信することを特徴とする。
本発明の認証方法は、少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおける、前記基地局を介して前記ネットワークと通信する無線通信装置の認証方法であって、前記無線通信装置がネットワークとの通信の開始に必要な第1の認証処理を開始する第1の認証ステップと、前記第1の認証処理の結果に基づいて前記無線通信装置が前記ネットワークとの通信を開始する第1の通信開始ステップと、
前記無線通信装置が前記第1の認証処理の結果に基づく認証情報を記憶する認証情報記憶ステップと、を備えることを特徴とする。
また、前記無線通信装置が前記ネットワークとの間の通信を開始する際に前記ネットワークとの通信の開始に必要な前記認証情報を記憶している場合は、前記第1の認証ステップと異なる第2の認証ステップを開始することを特徴とする。
本発明の認証方法は、少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおける、前記基地局を介して前記ネットワークと通信する無線通信装置の認証方法であって、無線通信装置が前記ネットワークと通信を開始する際にネットワークとの通信に必要な認証情報を記憶していない場合に、第1の認証処理を開始する第1の認証ステップと、無線通信装置が前記ネットワークと通信を開始する際に前記認証情報を記憶している場合に、前記第1の認証処理とは異なる第2の認証処理を開始する第2の認証ステップと、を備えることを特徴とする。
また、前記第2の認証処理の結果に基づいて前記ネットワークとの通信を開始する第2の通信開始ステップと、前記ネットワークとの通信と並行して前記第1の認証処理を開始する追加認証ステップと、を備えることを特徴とする。
また、前記第2の認証処理において、前記無線通信装置が前記認証情報を前記基地局に対して送信することを特徴とする。
また、前記第1の認証処理が前記無線通信装置と前記基地局と接続された認証装置との間で実行され、前記認証情報が、前記認証装置から送信され、前記認証装置が設定する証明情報を含むことを特徴とする。
また、前記第1の認証処理が前記無線通信装置と前記基地局との間で実行され、前記認証情報が前記基地局から送信され、前記基地局が設定する証明情報を含むことを特徴とする。
さらに、前記認証情報が無効となった場合に前記第1の認証処理を再度開始する再認証ステップを備えることを特徴とする。
本発明の認証方法は、少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおける、前記基地局のいずれかを介して前記ネットワークと通信する無線通信装置の認証方法であって、前記無線通信装置がネットワークとの通信の開始に必要な第1の認証処理を開始する初期認証ステップと、前記初期認証ステップにおける前記第1の認証処理の結果に基づいて前記無線通信装置が前記ネットワークとの通信を開始する通信開始ステップと、前記無線通信装置が前記初期認証ステップにおける前記第1の認証処理の結果に基づく認証情報を記憶する認証情報記憶ステップと、第1の通信開始ステップを実行した後、前記無線通信装置が前記基地局のいずれかとの通信を終了する通信中断ステップと、前記通信終了ステップを実行した後、前記無線通信装置が前記ネットワークとの通信の開始に必要な前記認証情報を記憶していない場合には前記第1の認証処理を開始し、前記ネットワークとの通信に必要な前記認証情報を記憶している場合には前記認証情報に基づいて前記第1の認証処理と異なる第2の認証処理を開始する認証ステップと、前記認証ステップにおける前記第1の認証処理又は前記第2の認証処理に基づいて前記無線通信装置が前記ネットワークとの通信を再開する通信再開ステップと、を備えることを特徴とする。
上記の手段によれば、いずれかの基地局に帰属する際に認証装置によって認証された無線通信装置/端末局が、同一又は異なる基地局に再度帰属する際の認証処理時間を、従来技術に比べて大幅に短縮することができる。
また、無線通信装置/端末局と基地局が共有し、定期的に更新される暗号化情報によって認証情報/認証チケットを暗号化して送信することによって、高いセキュリティを保持したまま認証処理時間を短縮することができる。
また、証明情報/認証サーバ署名又は基地局署名、使用者ID情報及び時刻情報/使用日時情報から、認証情報/認証チケットの正当性を判断することにより、認証情報/認証チケットの不正使用を排除し、高いセキュリティを保持したまま認証処理時間を短縮することができる。
また、認証情報/認証チケットに有効期間、有効範囲を設けることによって、システムの規模、用途等によってセキュリティの程度を設定することができる。
また、各基地局に帰属する可能性のある全ての無線通信装置/端末局の識別情報を装備する必要がないため、従来技術に比べ、システムの実装/管理にコスト/手間をかけずに、セキュリティを保持したまま認証処理時間を短縮することができる。
また、上記の手段を無線LANアクセスシステムに適用する場合、IEEE802.11、IEEE802.1X及びWPAのような標準仕様を採用しつつ、その拡張として実装することができる。従って、既存のシステムとの互換性を維持しつつ、低コストで実装することができる。
上記の認証処理時間の短縮によって、ハンドオーバーの際の通信プロトコルの物理層における通信中断時間を短縮し、高いセキュリティを保持しつつ、上位層における通信品質の劣化を防止することができる。特に、音声や映像のような連続性及びリアルタイム性を必要とするデータを扱う通信においては顕著な効果を奏する。
また、無線通信装置/端末局が基地局への帰属を一端解除し、同一の基地局に再度帰属した際の認証処理時間を短縮することもできる。これにより、正当な無線通信装置/端末局が直前まで帰属していた基地局に再度帰属するだけである場合に、高いセキュリティを保持しつつネットワークとの通信を迅速に再開し、利用者の利便性を高めることができる。
本発明を実施するための最良の形態について、図面を用いて説明する。しかしながら、かかる実施形態は本発明の技術的範囲を限定するものではない。
図1は本実施例の無線アクセスシステムの構成を示すものである。ただし、本実施例の説明に必要な構成要素のみを記載してある。
本実施例の無線アクセスシステムは、端末局10と、基地局200〜204と、ネットワーク80と、認証サーバ30とからなる無線LANアクセスシステムである。
ネットワーク80はやインターネットに接続されたLANのような有線ネットワークである。ここでは、ネットワーク80に接続された通信装置や他のネットワークを含めてネットワーク80と呼ぶこととする。
基地局200〜204は、ネットワーク80及び認証サーバ30と接続され、双方向の有線通信を行う。基地局200〜204は、それぞれ端末局10との無線通信を受け持つ無線アクセスサービスエリアを有する。本実施例では、基地局200及び基地局201に対応する無線アクセスサービスエリアを、それぞれ無線アクセスサービスエリア700及び701とする。
端末局10は、自らが属する無線アクセスエリアに対応する基地局に帰属(IEEE802.11におけるAssociationに対応)し、該基地局との無線通信を介してネットワーク80及び認証サーバ30と通信する。ネットワーク80と通信するとは、ネットワーク80又はネットワーク80に接続された他のネットワークに接続された通信装置と通信することを意味する。接続された通信装置には、端末局10と同様に基地局を介してネットワーク80と通信する他の端末局も含まれる。
端末局10は、異なる基地局に対応する無線アクセスエリアをまたがって移動することができる。この場合、端末局10は、帰属する基地局を切り換える、即ちハンドオーバーを行うことによりネットワーク80との通信を継続することができる。例えば、図1に示すように、端末局10は、無線アクセスサービスエリア700から無線アクセスサービスエリア701に移動する場合、基地局200への帰属を解除し、基地局201へ帰属するハンドオーバーを行う。
図2は、本実施例の端末局10の構成を示すものである。ただし、本実施例の説明に必要な構成要素のみを記載してある。端末局10は、無線送受信部11と、制御部12と、認証チケット記憶部15と、から構成される無線通信装置である。無線送受信部11は、基地局から受信した無線信号の周波数をダウンコンバートし、A/D変換、復調処理を施して制御部12に送信する。また無線送受信部11は、制御部12から受信した信号に変調、D/A変換処理を施し、周波数をアップコンバートして無線信号として基地局に送信する。制御部12は通信制御部13と、認証制御部14とから構成される。通信制御部13は、無線送受信部11との間で信号の送受信を行う。さらに、通信制御部13は、帰属している基地局との正常な通信が可能な限界地点である受信電波限界地点を検出し、また、最寄りの基地局の検索をする。受信電波限界地点の検出は、受信電波強度の低下や、信号誤り率の上昇に基づいて行う。基地局の検索には、IEEE802.11に規定されるアクティブ・スキャン又はパッシブ・スキャンが適用される。認証制御部14は、通信制御部との間で信号の送受信を行い、認証サーバ30との間の認証処理、基地局との間の認証処理、基地局への帰属処理及び帰属解除処理を行う。ここで、上記の帰属(Association)処理及び帰属解除(Disassociation)処理は、IEEE802.11の規定に従うものである。認証チケット記憶部15は、認証制御部14との間で信号の送受信を行い、認証制御部14の要求に応じて、後に詳しく説明する認証チケットを記憶し、または、認証制御部14に送信する。
図3は基地局200〜204の構成を示すものである。ただし、本実施例の説明に必要な構成要素のみを記載してある。基地局200〜204は、無線送受信部21と、制御部22と、送受信部25とから構成される無線LANアクセスシステムのアクセスポイントである。無線送受信部21は、端末局10から無線信号を受信し、復調処理等を施して制御部22に送信する。また、無線送受信部21は、制御部22からの信号を受信し、変調処理等を施して無線信号として端末局10に送信する。制御部22は、通信制御部23及び認証制御部24から構成される。通信制御部23は、無線送受信機21からの信号を認証制御部24及び送受信部25に送信し、送受信機25からの信号を認証制御部24及び無線送受信部21に送信し、認証制御装置24からの信号を無線送受信部21及び送受信部25に送信する。また、通信制御部23又は端末局10とネットワーク25との間の通信を許可するか否かを制御する。認証制御部24は、通信制御部23との間で信号の送受信を行い、端末局10の認証処理、帰属処理及び帰属解除処理を行う。送受信部25は、通信制御部23からの信号に変調処理等を施しネットワーク80又は認証サーバ30に送信する。また、送受信部25は、ネットワーク80又は認証サーバ30からの信号に復調処理等を施して通信制御部23に送信する。
図4は認証サーバ30の構成を示すものである。ただし、本実施例の説明に必要な構成要素のみを記載してある。認証サーバ30は、送受信部31、制御部32及び識別情報記憶部33から構成され、端末局の認証を行う機能を有する認証装置である。送受信部31は、基地局200〜204のいずれかからの信号を受信し、復調処理等を施して制御部32に送信する。また、送受信部31は、制御部32からの信号に変調処理等を施して基地局200〜204のいずれかに送信する。識別情報記憶部33は、予め設定される端末局10の識別情報を記憶している。制御部32は、送受信部31との間で信号の送受信を行い、基地局200〜204のいずれかを介して端末局10の認証処理を行う。上記の認証処理は、識別情報記憶部33に記憶された識別情報に基づいて行われる。また、制御部32は、基地局200〜204のいずれかを介して、端末局10に対して、後に詳しく説明する認証チケットを配布する。
以下に、本実施例の動作について詳細に説明する。図5は、いずれの基地局にも帰属していない端末局10が基地局200に帰属し、ネットワーク80とデータ通信を開始する際の動作を示すものである。
端末局10の通信制御部13が自らの存在する位置から最寄りの基地局を検索し、基地局200に帰属することを決定する。認証制御部14は基地局200に対し帰属要求をし、基地局200の認証制御部24との間での帰属手順を経て基地局200に帰属する。ここで、上記の基地局検索及び帰属手順は、IEEE802.11の規定に従うものである(S10)。
基地局200に帰属しただけでは、端末局10とネットワーク80との間の通信は許可されない。具体的には、基地局200の通信制御部23が上記の通信を禁止している。そこで、上記のデータ通信を開始すべく、端末局10と認証サーバ30の間で、基地局200を介した認証処理が行われる。具体的には、端末局10の帰属を認識した基地局200の認証制御部24が、認証サーバ30の制御部32に認証を要求する。その後、端末局10の認証制御部14と認証サーバ30の制御部32との間で基地局200を介した認証処理が実行される。この認証処理は、予め設定され認証サーバ30の識別記憶部33に記憶されている端末局10の識別情報に基づいて行われる。また、この認証処理はIEEE802.1XやWPAの規定に従うものである(S11)。
上記の認証が成功すると、即ち認証サーバ30によって端末局10の正当性が確認されると、端末局10と基地局200の間の無線通信路が暗号化される。具体的には、端末局10はIEEE802.1XやWPAに定義された鍵配布プロトコルに従って暗号鍵を受け取るか、若しくは予め端末局10及び基地局200に手動で設定された暗号鍵を用いて無線通信路に暗号化処理を施す。この暗号化には、IEEE802.11で規定されるWEP暗号化を適用する(S12)。
上記の暗号化が完了すると、基地局200の通信制御部23によって端末局10とネットワーク80の間の通信が許可され、この通信が開始される。端末局10とネットワーク80の間の通信が開始された後(S13)、認証サーバ30は認証チケットを発行し、端末局10に対して配布する。
本発明の特徴は、認証サーバから配布される認証チケットを使用する点にある。この認証チケットは、端末局10の正当性が認証サーバ30によって認証されたことを証明する認証情報であり、その証明情報が含まれている。また、認証チケットは、自身を暗号化して送信するための暗号化情報を含んでいる。上記のようにネットワークとの通信を許可された端末局10は、再度基地局に帰属する際に、認証チケットを使用して基地局との間で認証処理を完了することができる。即ち、本願発明は、認証サーバによる認証処理とは異なる、より短時間で完了できる認証処理を提供する。
以下では、上記の認証チケットの暗号化に必要な暗号化情報をパスフレーズと呼ぶ。また、本実施例では、認証チケットに含まれる証明情報を認証サーバの署名とする。
図6は認証サーバ30から端末局10に対して配布される認証チケットの構成を示すものである。認証チケットは、ヘッダ501と、使用者ID情報502と、有効範囲情報503と、有効期間情報504と、使用日時情報505と、認証サーバ署名506と、パスフレーズ507とから構成される。
ヘッダ501は、一般的な通信プロトコルで使用されるメッセージ/パケットIDのようなものに相当し、基地局における認証チケットの処理を容易にするためのものである。使用者ID情報502は、認証サーバ30によって認証された端末局10の正体を示すID情報である。有効範囲情報503は、認証チケットを有効なものとして使用することがきる基地局のリストである。有効期間情報504は、認証チケットが有効な期間を示すものである。システムの規模、用途等に応じて、有効範囲情報503及び有効期間情報504を設定することにより、セキュリティの程度を設定することができる。使用日時情報505は、端末局10が認証チケットを使用した時点、即ち基地局に送信した時点の日時を示す時刻情報である。認証サーバ署名506は、認証サーバ30が認証チケット発行時に設定するものであり、認証チケットの正当性を示すものである。
パスフレーズ507は、端末局10が基地局に対して認証チケットを送信する際に施す暗号化の鍵である。パスフレーズ507は、認証サーバ30によって定期的に更新され、認証チケットの有効範囲情報503に含まれる全ての基地局に配布される。本実施例では、パスフレーズ507の更新期間と認証チケットの有効期間が同期しており、認証チケットの有効期間切れと共にパスフレーズ507も更新配布される。パスフレーズ507は、基地局に対して安全な通信路を使って配布されるか、若しくはなんらかの形で暗号化されて配布される。
ここで、使用日時情報505には、端末局10が認証チケットを基地局に送信する時点で、その日時を設定する。認証チケットの使用日時情報505以外の構成要素、即ち、使用者ID502、有効範囲情報503、有効期間情報504、認証サーバ署名506、及びパスフレーズ507は認証サーバ30が設定する。
再び図5に戻って、認証チケットの配布及び使用方法について詳細に説明する。端末局10とネットワーク80との間の通信が開始された後、認証サーバ30は、認証チケットを端末局10に対して送信する(S14)。具体的には、認証サーバ30の制御部32が、使用者ID502、有効範囲情報503、有効期間情報504、認証サーバ署名506、及びパスフレーズ507を設定した認証チケットを、端末局10の認証制御部14に送信する。端末局10の認証制御部14は、受信した認証チケットの認証サーバ署名506を確認する。その結果、認証サーバ30によって送信された正当な認証チケットであると認めた場合には、これを認証チケット記憶部15に記憶する。不正な認証チケットであると認めた場合にはこれを破棄し、必要に応じて再送信又は再認証処理を実行する。以下では、正当な認証チケットが認証チケット記憶部15に記憶されたものとして説明する。
本実施例では、端末局10とネットワーク80との間の通信が開始された後で認証チケットが送信されることとしたが、上記の通信開始前に送信される態様をとることも可能である。この場合でも、端末局10と基地局200の間の無線通信路が暗号化されるなど、安全な通信路が確保された後、認証チケットがその通信路を使用して端末局10に送信されるようにすることにより、認証チケットに付属するパスフレーズ507の傍受及び不正使用を防止することができる。
図7は、基地局200に帰属しネットワーク80と通信を行っている端末局10が、移動に伴い帰属する基地局を基地局201に切り換えるハンドオーバーの際の動作を示すものである。
図1に示すように、端末局10は、ネットワーク80との通信を継続しながら移動し、現在帰属している基地局200の電波到達限界地点、即ち無線アクセスサービスエリア700の境界近くになると、基地局検索を再実行し最寄りの基地局201を発見する。その後、無線アクセスエリア700から無線アクセスエリア701への移動に対応して、基地局200から基地局201に帰属を切り換えるハンドオーバーを行う。
具体的には、端末局10の通信制御部13が受信電波強度の低下や、信号誤り率の上昇から無線アクセスエリア700の境界近くであることを認識し、基地局を検索し、最寄りの基地局201を発見する。その後、無線アクセスエリア700から無線アクセスエリア701への移動に対応して、端末局10の認証制御部14は基地局200の認証制御部24との間で帰属解除処理を完了する。続いて、端末局10の認証制御部14は基地局201の認証制御部24との間で帰属処理を行い、端末局10は新たに基地局201に帰属する。ここで、帰属処理及び帰属解除処理は、IEEE802.11の規定に従うものである(S20)。
端末局10が基地局200への帰属解除処理を完了した時点で、端末局10とネットワーク80の間の通信プロトコルの上位層における通信は継続しているが、通信プロトコルの物理層における通信は中断されている。また、端末局10が新たな基地局201への帰属処理を完了した時点では、この物理層の通信は再開されていない。IEEE802.1XやWPAの認証処理に従う場合、端末局10がこの物理層の通信を再開するためには、認証サーバ30による再認証が必要となる。この場合、認証処理時間の長期化によって、上位層における通信をも中断する結果を招く。しかし、本実施例では、端末局10が認証チケットを有している場合、即ち認証チケット記憶部15に認証チケットが存在する場合には、認証サーバ30との間の認証処理を実行する代わりに、基地局201との間で認証チケットに基づく認証処理を実行する。これにより、上位層における通信の中断を防ぐことができる。端末局10が認証チケットを有していない場合には、図5同様に認証サーバ30による再認証を行う。以下では、端末局10が認証チケットを有している場合について説明する。
端末局10は、基地局201への帰属処理終了後、基地局201に対して認証チケットのパスフレーズ507を除く部分である認証チケット本体508を送信する。具体的には、端末局10の認証制御部14が、認証チケット記憶部15から認証チケット本体508を読み出し、使用日時情報505に現在日時を設定する。さらに、認証制御部14は認証チケット記憶部15からパスフレーズ507を読み出し、使用日時情報505を設定した認証チケット本体508を、パスフレーズ507を用いて暗号化し基地局201の認証制御部24に送信する(S21)。
基地局201は、受信した認証チケットの有効性を確認することによって、端末局10を認証する。即ち、基地局201の認証制御部24は、端末局10から送信された認証チケット本体508を受信すると、予め認証サーバ30から配布されているパスフレーズ507を用いて認証チケット本体508を復号する。認証制御部24は、復号した認証チケットの有効範囲情報503及び有効期間情報504を確認することによって、認証チケットが有効なものであるか否かを判断する。また、認証制御部24は、認証サーバ署名506を確認し、認証チケットが認証サーバ30によって正当に発行されたものであるか否かを判断する。さらに、使用者ID情報502及び使用日時情報505を確認し、認証チケットが不正に使用されたものであるか否か判断する。認証チケットは上記のようにパスフレーズによって暗号化されて送信されるものの、無線通信路に送出される以上、端末局10以外の悪意の者に入手され不正に使用される可能性がある。そこで、このような不正使用を排除する必要がある。具体的には、上述の帰属処理の際に端末局10から送信された端末局10のID情報、例えばMAC(Medium Access Control)アドレスと、使用者ID情報502を比較することにより、認証チケット使用者と帰属している端末局10が一致していることを確認する。両者が一致しない場合には、不正使用と判断することができる。また、認証チケットを受信した日時と、使用日時情報505を比較することにより、不正使用であるか否かを判断することができる。即ち、認証チケットの使用日時情報505に設定された日時から受信した日時までの経過時間が、無線伝送遅延の範囲内の程度でない場合には、認証チケットを傍受した第三者による不正使用であると判断することができる(S22)。
以上の手順により、認証チケットが有効期間内かつ有効範囲内で使用されたものであり、かつ、認証サーバ30によって正当に発行されたものであり、かつ、正当に使用されているものである、即ち、認証チケットが全体として有効であると判断した場合には、端末局10と基地局201の間の無線通信路が暗号化される。具体的には、端末局10はIEEE802.1XやWPAに定義された鍵配布プロトコルに従って暗号鍵を受け取る、若しくは予め端末局10及び基地局201に手動で設定された暗号鍵を用いる等によって無線通信路に暗号化処理を施す。この暗号化には、例えば、IEEE802.11で規定されるWEP暗号化が適用される。暗号化を完了した後、基地局201の認証制御部24は、端末局10の認証制御部14に対し、ネットワーク80との通信を許可する通知を送信する。これと同時に基地局201の通信制御部23は、端末局10とネットワーク80の間の通信ポートを開放する。上記の通信を許可する通知を受信した端末局10は、ネットワーク80との物理層における通信を再開する(S23)。ここで、S20からS23にかけての物理層における通信の中断時間が短いため、上位層における通信は継続したままである。
認証チケットの有効性が判断できない場合には、無線通信経路の暗号化が行われないと共に、認証制御部24は上記通信を許可する通知を送信せず、通信制御部23は端末局10とネットワーク80の間の通信ポートを開放しない。この場合には、認証サーバ30による再認証が必要となる。
本実施例では、認証チケットに基づく認証処理を実行した後で、無線経路に暗号化処理を施したが、認証チケットがパスフレーズによって暗号化されているため、高いセキュリティを維持することができる。また、端末局10と基地局201の間の無線経路に暗号化処理を施した後で、認証チケットに基づく認証処理を実行する態様をとることも可能である。
端末局10とネットワーク80の間の物理層における通信が再開された後、端末局10は、この通信と並行して認証サーバ30による基地局201を介した追加認証処理を実行する。この追加認証処理も図5の認証処理と同様のものであり、IEEE802.1XやWPAの規定に従うものである(S24)。追加認証が成功した場合、追加認証と並行して行われている端末局10とネットワーク80との間の通信は、なんら影響を受けることなく継続する。しかし、追加認証が失敗に終わった場合、端末局10とネットワーク80との間の通信は、基地局201の通信制御部23によって中止される。この追加認証は、使用者ID情報502及び使用日時情報505の確認によっては排除できない認証チケットの不正使用を排除し、よりセキュリティを向上するための施策である。例えば、認証チケットを不正入手した者が、何らかの方法によりチケット使用者を詐称しながら、かつ使用日時情報505に設定された日時から短時間内に認証チケットを使用した場合、基地局202は、認証チケットを正当なものとして取り扱ってしまう。追加認証を行うことによって、このような基地局202には認識できない認証チケットの不正使用を排除することができる。
端末局10は、移動に伴いハンドオーバーを行うたびに、上述S20〜S24の動作を行う。
本実施例では、追加認証の際には、認証サーバ30から端末局10に対して認証チケットを発行しない。しかし、必要に応じて追加認証が成功した際に新たな認証チケットを発行する態様をとることも可能である。
以上では、端末局10が帰属する基地局を切り換えるハンドオーバーを行う際の認証チケット使用方法を述べた。図7に示す認証チケットを使用する認証処理は、いずれの基地局にも帰属しない端末局10が、いずれかの基地局に帰属する際にも適用可能である。例えば、端末局10が基地局200に帰属し、認証サーバ30から認証チケットを配布された後、基地局200への帰属を解除した場合を考える。この場合に、端末局10が再度基地局200へ帰属する際には、認証サーバ30との間の認証処理を実行することなく、図7に示す認証チケットを使用する認証処理を実行することによって、ネットワーク80との通信を開始することも可能である。
次に、ハンドオーバーの必要がない地点で、即ち、即ち無線アクセスサービスエリア内であってその境界近くではない地点において端末局10が通信しているときに、認証チケットが無効となった場合の動作を説明する。図8は、端末局10が、基地局201に対応する無線アクセスサービスエリア701において、ネットワーク80と通信を行っている状態で認証チケットが無効となった場合の動作を説明するものである。
認証チケットが無効になるとは、有効範囲情報503に設定された有効範囲に現在又は次のハンドオーバーの際に帰属する基地局が含まれていないこと、又は有効期間情報504に設定された有効期間が切れていることを意味する。端末局10が、なんらかの方法によって現在及び次に帰属する基地局の識別情報を認識することにより、有効範囲情報503に起因して認証チケットが無効になったことを認識することが可能である。また、有効期間情報504に設定された有効期間と現在の日時を比較することにより、有効期間情報504に起因して認証チケットが無効となったことを認識することが可能である。
端末局10は、定期的に若しくはなんらかのタイミングで認証チケットの有効性を確認し、認証チケットが無効であることを確認した場合には、認証サーバ30に対して認証チケットの再発行を要求する。再発行の要求を受けた認証サーバ30は、端末局10との間で再認証処理を実行し、端末局10の正当性を確認した後、認証チケットを再発行し、端末局10に対して再配布する。具体的には、端末局10の認証制御部14は、定期的に若しくはなんらかのタイミングで認証チケット記憶部15にアクセスし、その時点で認証チケットが有効であるか否かを確認する。認証チケットが無効となっていた場合、認証制御部14は基地局201を介して認証サーバ30の制御部32に対して認証チケットの再発行を要求する。認証チケット再発行の要求を受けた認証サーバ30の制御部32は、端末局10の認証制御部14との間で再認証処理を実行する。この再認証処理は、S11(図5)の認証処理と同様のものであり、IEEE802.1XやWPAの規定に従うものである(S30)。再認証が完了し、端末局10の正当性が確認されると、認証サーバ30の制御部32は認証チケットを再発行し、端末局10の認証制御部14に対して送信する。無線装置10の認証制御部14は、再発行された認証チケットを受信すると、S14(図5)で認証チケットを受信した場合同様に、認証チケットの正当性を確認し、認証チケット記憶部15に保存する。この際、無効な古い認証チケットは破棄される(S31)。
ここで、上述のS30及びS31は、端末局10とネットワーク80との間の通信と並行して行われる。従って、通信を中断することなく認証チケットを更新することが可能である。端末局10は、次回以降基地局に帰属する際には、再配布された新たな認証チケットを使用して、基地局との間で認証処理を実行する。また、再び認証チケットが無効となった場合も上述のS30及びS31が実行される。
本実施例では、無線アクセスシステムとして無線LANアクセスシステムを適用したが、同様に端末局、基地局、認証サーバ及びネットワークを備えるシステムであれば、他のシステムの適用も可能である。例えば、携帯電話通信システム、PHS通信システム等の適用が可能である。
本実施例では、認証サーバを1つとしたが、複数の認証サーバからなる無線アクセスシステムを構成することも可能である。
図9は、本実施例の無線アクセスシステムの構成を示すものである。ただし、本実施例の説明に必要な構成要素のみを記載してある。本実施例の無線アクセスシステムは、端末局10と、基地局400〜404と、ネットワーク80とから構成される無線LANアクセスシステムである。認証サーバ30を備えていない点において実施例1の無線アクセスシステムと構成が異なる。また、基地局400〜404は、実施例1の基地局200〜204とは構成が異なる。基地局400〜404は、それぞれ端末局10との無線通信を受け持つ無線アクセスサービスエリアを有する。本実施例では、基地局400及び401に対応する無線アクセスサービスエリアを、それぞれ無線アクセスサービスエリア900及び901とした。端末局10及びネットワーク80は実施例1の無線アクセスシステムの構成要素と同一である。
図10は基地局400〜404の構成を示すものである。基地局400〜404は、無線送受信部21と、制御部41と、基地局情報記憶部43と、送受信部44とから構成される。送受信部21は、実施例1の基地局20の構成要素と同一である。制御部41は、通信制御部23及び認証制御部42から構成される。通信制御部23は実施例1の基地局200〜204の構成要素と同一である。
認証制御部42は、通信制御部23との間で信号の送受信を行い、端末局10の認証処理を行う点で、実施例1の基地局200〜204の認証制御部24と共通する。しかし、認証処理の内容が異なる。本実施例においては、認証サーバ30は存在しないため、認証制御部42が認証に関する全ての動作を担う。即ち、端末局10の識別情報に基づく認証、認証チケットの発行及び配布、及び認証チケットに基づく認証を行う。認証制御部42が識別情報に基づく認証を行うためには、端末局10の識別情報を有している必要がある。本実施例では、基地局400〜404のうち、基地局400の認証制御部42にのみ、上記の識別情報が予め設定されている。
基地局情報記憶部43は、予め設定される基地局情報を記憶し、認証制御部42の要求に応じて、基地局情報を認証制御部42に送信する。基地局情報とは、後述する認証チケットの基地局署名601(図12)の正当性を確認するための情報である。本実施例では、基地局400~404のそれぞれが基地局400~404全てに関する基地局情報を有している。
ここで、各基地局が他の基地局の基地局情報を有するようにし、各基地局に帰属する可能性のある全ての端末局の識別情報を装備しないようにすることにより、従来技術に比べ、システムの実装/管理のコスト/手間を削減している。
送受信部44は、通信制御部23からの信号に変調処理等を施しネットワーク80に送信する。また、送受信部44は、ネットワーク80からの信号に復調処理等を施して通信制御部23に送信する。
以下に、本実施例の動作について説明する。図11はいずれの基地局にも帰属していない端末局10が基地局400に帰属し、ネットワーク80とデータ通信を開始する際の動作を示すものである。
端末局10の通信制御部13が自らの存在する位置から最寄りの基地局を検索し、基地局400に帰属することを決定する。認証制御部14は基地局400に対し帰属要求をし、基地局400の認証制御部42との間での帰属手順を経て基地局400に帰属する。ここで、上述の基地局検索及び帰属手順は、IEEE802.11の規定に従うものである。この際、基地局400の認証制御部42と端末局10の認証制御部14との間で、端末局10の識別情報、例えばMACアドレスに基づく認証処理を行う。(S40)。
上記の識別情報による認証が成功、即ち基地局400によって端末局10の正当性が確認されると、端末局10と基地局400の間の無線通信路が暗号化される。具体的には、端末局10はIEEE802.1X又はWPAに定義された鍵配布プロトコルに従って暗号鍵を受け取るか、若しくは予め端末局10及び基地局400に手動で設定された暗号鍵を用いて無線通信路に暗号化処理を施す。この暗号化は、IEEE802.11で規定されるWEP暗号化を適用する(S41)。
上述の暗号化が完了すると、端末局10とネットワーク80の間の通信が開始される(S42)。端末局10とネットワーク80の間の通信が開始された後、基地局400から端末局10に対して認証チケットが送信される(S43)。
図12は、本実施例の認証チケットの構成を示すものである。認証チケットは、ヘッダ501と、使用者ID情報502と、有効範囲情報503と、有効期間情報504と、使用日時情報505と、基地局署名601から構成される。認証サーバ署名506が基地局署名606に変更され、パスフレーズ507が削除された点以外は、実施例1の認証チケットと同様である。基地局署名601は、端末局10の正当性が識別情報を有する基地局によって認証されたことを証明する証明情報である。
再び図11に戻って、認証チケットの配布及び使用方法について詳細に説明する。基地局400の認証制御部42は、基地局署名601に署名を設定した認証チケットを、端末局10の認証制御部14に送信する。端末局10の認証制御部14は、受信した認証チケットの基地局署名601を確認し、基地局400によって送信された正当な認証チケットであると認めた場合には、認証チケット記憶部15に記憶する。不正なチケットであると認めた場合にはこれを破棄し、必要に応じて再送信又は再認証処理を実行する。以下では、正当な認証チケットが認証チケット記憶部15に記憶されたものとして説明する。
本実施例では、端末局10とネットワーク80の間の通信が開始された後で認証チケットが送信されることとしたが、上記の通信開始前に送信される態様をとることも可能である。この場合でも、端末局10と基地局400の間の無線通信路が暗号化されるなど、安全な通信路が確保された後、認証チケットがその通信路を使用して端末局10に送信されるようにすることにより、認証チケットの傍受及び不正使用を防止することができる。
図13は、基地局400に帰属し、ネットワーク80と通信を行っている端末局10が、移動に伴い帰属する基地局を基地局401に切り換えるハンドオーバーの際の動作を示すものである。
図9に示すように、端末局10は、ネットワーク80との通信を継続しながら移動し、現在帰属している基地局400の電波到達限界地点、即ち無線アクセスサービスエリア900の境界近くになると、基地局検索を再実行し最寄りの基地局401を発見する。その後、無線アクセスエリア900から無線アクセスエリア901への移動に対応して、基地局400から基地局401に帰属を切り換えるハンドオーバーを行う。
具体的には、端末局10の通信制御部13が受信電波強度の低下や、信号誤り率の上昇から無線アクセスエリア900の境界近くであることを認識し、基地局を検索し、最寄りの基地局401を発見する。その後、無線アクセスエリア900から無線アクセスエリア901への移動に対応して、端末局10の認証制御部14と基地局400の通認証制御42との間で帰属解除処理を完了する(S50)。上記の基地局検索及び帰属解除はIEEE802.11の規定に従うものである。帰属解除処理を完了した時点で、端末局10とネットワーク80の間の通信プロトコルの上位層における通信は継続しているが、通信プロトコルの物理層における通信は中断されている。
続いて、認証制御部14が基地局401の認証制御部42に対し帰属要求を送信するが、基地局401の認証制御部42は端末局10の識別情報を有していなため、端末局10とネットワーク80の間の通信を許可することができない。
そこで、端末局10の認証制御部14は認証チケットを基地局401の認証制御部42に対して送信する(S51)。基地局401の認証制御部42は、端末局10から送信された認証チケット608を受信すると、有効範囲情報503及び有効期間情報504を確認することによって、認証チケットが有効なものであるか否かを判断する。また、基地局署名601を確認し、認証チケットが識別情報を有する基地局400によって正当に発行されたものであるか否かを判断する。さらに、使用者ID情報502及び使用日時情報505を確認し、認証チケットが不正に使用されたものであるか否か判断する。認証チケットは暗号化されずに送信されるため、端末局10以外の悪意の者に入手され不正に使用される可能性がある。そこで、このような不正使用を排除する必要がある。具体的には、上述の帰属要求の際に端末局10から送信された端末局10のID情報、例えばMACアドレスと、使用者ID情報502を比較することにより、認証チケット使用者と帰属しようとしている端末局10が一致していることを確認することができる。両者が一致しない場合には、不正使用と判断することができる。また、認証チケットを受信した日時と、使用日時情報505を比較することにより、不正使用であるか否かを判断することができる。即ち、認証チケットの使用日時情報505に設定された日時から受信した日時までの経過時間が、無線伝送遅延の範囲内の程度でない場合には、認証チケットを傍受した第三者による不正使用であると判断することができる(S52)。
以上の手順により、認証チケットが有効期間内かつ有効範囲内で使用されたものであり、かつ、基地局400によって正当に発行されたものであり、かつ、正当に使用されているものである、即ち、認証チケットが全体として有効であると判断した場合には、端末局10と基地局401の間の無線通信路が暗号化される。具体的には、端末局10はIEEE802.1XやWPAに定義された鍵配布プロトコルに従って暗号鍵を受け取る、若しくは予め端末局10及び基地局401に手動で設定された暗号鍵を用いる等によって無線通信路に暗号化処理を施す。この暗号化には、例えば、IEEE802.11で規定されるWEP暗号化を適用する。暗号化が完了すると、基地局401の認証制御部42は、端末局10の認証制御部14に対し、ネットワーク80との通信を許可する通知を送信する。これと同時に基地局401の通信制御部23は、端末局10とネットワーク80の間の通信ポートを開放する。上記の通信を許可する通知を受信した端末局10は、ネットワーク80との物理層における通信を再開する(S53)。ここで、S50からS53にかけての物理層における通信の中断時間が短いため、上位層における通信は継続したままである。
認証チケットの正当性が判断できない場合には、端末局10の帰属は許可されず、通信は再開されない。
端末局10は、移動に伴いハンドオーバーを行うたびに、上述S50〜S53の動作を行う。
以上では、端末局10が帰属する基地局を切り換えるハンドオーバーを行う際の認証チケット使用方法を述べた。図13に示す認証チケットを使用する認証処理は、いずれの基地局にも帰属しない端末局10が、いずれかの基地局に帰属する際にも適用可能である。例えば、端末局10が基地局400に帰属し、認証チケットを配布された後、基地局400への帰属を解除した場合を考える。この場合に、端末局10が基地局400へ再帰属する際には、識別情報に基づく認証処理を実行することなく、図13に示す認証チケットを使用する認証処理を実行することによって、ネットワーク80との通信を開始することも可能である。
本実施例では、1つの基地局400のみが端末局10の識別情報を有していることとしたが、複数の基地局が識別情報を有している態様をとることも可能である。
本実施例では、いずれの基地局にも帰属していない端末局10が、初めに識別情報を有する基地局400に帰属することとしたが、識別情報を有さない基地局に帰属する態様をとることも可能である。この場合、端末局10が、帰属する基地局を介して、識別情報を有する端末局400との間で識別情報に基づく認証処理を実行する態様をとることが可能である。
本実施例では、無線アクセスシステムとして無線LANアクセスシステムを適用したが、同様に端末局、基地局、及びネットワークを備えるシステムであれば、他のシステムの適用も可能である。例えば、携帯電話通信システム、PHS通信システム等の適用が可能である。
実施例1及び2では、ネットワーク80を有線ネットワークとしたが、無線ネットワーク又は有線区間と無線区間の混在するネットワークを適用することも可能である。
実施例1及び2では、基地局の数を5つとしたが、1つの基地局又は6つ以上の基地局から無線アクセスシステムを構成することも可能である。
実施例1及び2では、基地局への帰属処理を、IEEE802.11の規定に従うものとしたが、端末局が基地局と通信可能な状態に移行する動作であれば、必ずしもIEEE802.11の規定の従うものである必要はない。同様に、帰属解除処理も、端末局が基地局との通信状態を解除する動作であれば、必ずしもIEEE802.11の規定の従うものである必要はない。例えば、上記のように、携帯電話通信システムやPHS通信システムを適用した場合には、帰属処理及び帰属解除処理はそれぞれのシステムに適合したものを適用することができる。
実施例1及び2では、端末局は1つの基地局にのみ帰属しているが、複数の基地局に同時に帰属する態様をとることも可能である。例えば、WCDMA通信システムにおけるソフトハンドオーバーのような態様をとることが可能である。この場合、新たな基地局に帰属した端末局が、他の基地局との通信を継続しつつ、新たな基地局との間で認証チケットに基づく認証処理を、若しくは、新たな基地局を介して認証サーバ又は他の基地局との間で認証処理を行う態様をとることも可能である。
実施例1及び2では、各基地局が対応する1つの無線アクセスサービスエリアを有することとしたが、複数の無線アクセスサービスエリアを有する態様をとることも可能である。例えば、各基地局が複数の指向性アンテナを有し、それぞれの指向性アンテナに対応する無線アクセスサービスエリアを有する態様をとることが可能である。この場合、端末局は、移動に伴い帰属する指向性アンテナを切り換えるハンドオーバーを行う。このハンドオーバーの際には、基地局間のハンドオーバーの際と同様の認証処理を実行することができる。
実施例1及び2では、1つの端末局10に注目して説明しているが、1つの基地局に複数の端末局が帰属する態様をとることも可能である。
無線アクセスシステムの構成を示した図である。(実施例1) 端末局の構成を示した図である。(実施例1及び2) 基地局の構成を示した図である。(実施例1) 認証サーバの構成を示した図である。(実施例1) 認証チケット配布の動作を示した図である。(実施例1) 認証チケットの構成を示した図である。(実施例1) 認証チケットを使用した認証処理を示した図である。(実施例1) 認証チケットが無効になった際の動作を示した図である。(実施例1) 無線アクセスシステムの構成を示した図である。(実施例2) 基地局の構成を示した図である。(実施例2) 認証チケット配布の動作を示した図である。(実施例2) 認証チケットの構成を示した図である(実施例2) 認証チケットを使用した認証処理を示した図である。(実施例2)
符号の説明
10 端末局
11 無線送受信部
12 制御部
13 通信制御部
14 認証制御部
15 認証チケット記憶部
200〜204 基地局
21 無線送受信部
22 制御部
23 通信制御部
24 認証制御部
25 送受信部
30 認証サーバ
31 送受信部
32 制御部
33 識別情報記憶部
400〜404 基地局
41 制御部
42 認証制御部
43 基地局情報記憶部
44 送受信部
501 ヘッダ
502 使用者ID情報
503 有効範囲情報
504 有効期間情報
505 使用日時情報
506 認証サーバ署名
507 パスフレーズ
508 認証チケット本体
601 基地局署名
602 認証チケット本体
700〜701 無線アクセスサービスエリア
80 ネットワーク
900〜901 無線アクセスサービスエリア

Claims (24)

  1. 少なくとも1つの基地局と前記基地局と接続されたネットワークと前記基地局と接続された認証サーバとを含む通信システムにおいて、前記基地局のいずれかとの無線通信を介して前記ネットワークと通信する端末局の認証方法であって、
    前記端末局が、認証サーバとの間で、前記端末局が前記ネットワークとの通信の開始を許可されるために必要な第1の認証処理を実行し、
    前記端末局が、前記第1の認証処理の結果に基づいて、前記基地局のいずれかを介して前記ネットワークとの間の通信を開始し、
    前記認証サーバが、前記第1の認証処理の結果に基づいて前記端末局と前記ネットワークとの通信を許可したことを示す認証チケットを前記端末局に対して送信し、
    前記端末局が、前記認証チケットを記憶し、
    前記端末局が、前記基地局のいずれかとの通信を終了した後、再度前記基地局のいずれかを介して前記ネットワークとの通信を開始するにあたって、前記認証チケットを前記基地局のいずれかに送信し、
    認証チケットを受信した前記基地局が、前記端末局との間で、前記認証サーバを介さずに、前記第1の認証処理と異なる、前記認証チケットに基づいた第2の認証処理を実行し、
    前記端末局が、前記第2の認証処理の結果に基づいて前記ネットワークとの通信を開始すること、
    を特徴とする認証方法。
  2. 少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおいて、前記基地局を介して前記ネットワークと通信する無線通信装置であって、
    前記ネットワークとの通信の開始に必要な第1の認証処理を開始し、
    前記第1の認証処理の結果に基づいて前記ネットワークとの通信を開始し、
    前記第1の認証処理の結果に基づく認証情報を記憶することを特徴とする無線通信装置。
  3. 前記ネットワークとの通信の開始に必要な前記認証情報を記憶している場合に、前記第1の認証処理と異なる第2の認証処理を開始することを特徴とする請求項2に記載の無線通信装置。
  4. 少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおいて、前記基地局を介して前記ネットワークと通信する無線通信装置であって、
    前記ネットワークとの通信を開始するに際し、
    前記ネットワークとの通信に必要な認証情報を記憶していない場合に第1の認証処理を開始し、
    前記認証情報を記憶している場合に前記第1の認証処理とは異なる第2の認証処理を開始することを特徴とする無線通信装置。
  5. 前記第2の認証処理の結果に基づいて前記ネットワークとの通信を開始し、
    前記ネットワークとの通信と並行して前記第1の認証処理を開始することを特徴とする請求項3又4に記載の無線通信装置。
  6. 前記第2の認証処理において、前記認証情報を前記基地局に対して送信することを特徴とする請求項3乃至5に記載の無線通信装置。
  7. 前記認証情報が、当該無線通信装置が当該認証情報を前記基地局に対して送信した日時に関する時刻情報を含むことを特徴とする請求項6に記載の無線通信装置。
  8. 前記認証情報が暗号化情報を含み、
    前記認証情報を前記暗号化情報によって暗号化処理を施して前記基地局に対して送信することを特徴とする請求項6又は7に記載の無線通信装置。
  9. 前記認証情報が、当該無線通信装置のID情報と、前記認証情報の有効期間情報と、前記認証情報の有効範囲情報とのうち少なくとも1つを含むことを特徴とする請求項2乃至8に記載の無線通信装置。
  10. 前記第1の認証処理を前記基地局と接続された認証装置との間で実行し、
    前記認証情報が、前記認証装置から送信され、前記認証装置が設定する証明情報を含むことを特徴とする請求項2乃至9に記載の無線通信装置。
  11. 前記第1の認証処理を前記基地局との間で実行し、
    前記認証情報が前記基地局から送信され、前記基地局が設定する証明情報を含むことを特徴とする請求項2乃至9に記載の無線通信装置。
  12. 前記認証情報が無効となった場合に前記第1の認証処理を再度開始することを特徴とする請求項2乃至11に記載の無線通信装置。
  13. 少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおいて、前記基地局のいずれかを介して前記ネットワークと通信する無線通信装置であって、
    前記ネットワークとの通信の開始に必要な第1の認証処理を開始する手段と、
    前記第1の認証処理の結果に基づいて前記基地局のいずれかを介して前記ネットワークとの間の通信を開始する手段と、
    前記第1の認証処理の結果に基づく認証情報を記憶する手段と、
    前記基地局のいずれかとの通信を終了した後、再度前記基地局のいずれかを介して前記ネットワークとの通信を開始するにあたって、前記第1の認証処理と異なる第2の認証処理を実行するために前記認証情報を前記基地局のいずれかに対して送信する手段と、
    を備えることを特徴とする無線通信装置。
  14. ネットワークと、前記ネットワークと通信する無線通信装置とを含む通信システムにおいて、前記ネットワークと接続され前記無線通信装置と通信する基地局であって、
    前記無線通信装置が前記ネットワークとの通信を許可されたことを示す認証情報が前記無線通信装置から送信されない場合は、前記無線通信装置が前記ネットワークとの通信を開始するために必要な第1の認証処理を開始し、
    前記無線通信装置から前記認証情報が送信された場合は、前記認証情報に基づいて前記第一の認証処理とは異なる第2の認証処理を開始し、
    前記第1の認証処理又は前記第2の認証処理の結果に基づいて前記無線通信装置と前記ネットワークとの通信を許可することを特徴とする基地局。
  15. 少なくとも1つの基地局と前記基地局と接続されたネットワークと前記基地局を介して前記ネットワークと通信する無線通信装置とを含む通信システムにおいて、
    前記基地局と接続された認証装置であって、
    前記無線通信装置が前記ネットワークとの通信を開始するために必要な認証処理を開始し、
    前記認証処理の結果に基づいて前記無線通信装置に対して認証情報を送信することを特徴とする認証装置。
  16. 少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおける、前記基地局を介して前記ネットワークと通信する無線通信装置の認証方法であって、
    前記無線通信装置がネットワークとの通信の開始に必要な第1の認証処理を開始する第1の認証ステップと、
    前記第1の認証処理の結果に基づいて前記無線通信装置が前記ネットワークとの通信を開始する第1の通信開始ステップと、
    前記無線通信装置が前記第1の認証処理の結果に基づく認証情報を記憶する認証情報記憶ステップと、
    を備えることを特徴とする認証方法。
  17. 前記無線通信装置が前記ネットワークとの間の通信を開始する際に前記ネットワークとの通信の開始に必要な前記認証情報を記憶している場合は、前記第1の認証ステップと異なる第2の認証ステップを開始することを特徴とする請求項16に記載の認証方法。
  18. 少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおける、前記基地局を介して前記ネットワークと通信する無線通信装置の認証方法であって、
    無線通信装置が前記ネットワークと通信を開始する際にネットワークとの通信に必要な認証情報を記憶していない場合に、第1の認証処理を開始する第1の認証ステップと、
    無線通信装置が前記ネットワークと通信を開始する際に前記認証情報を記憶している場合に、前記第1の認証処理とは異なる第2の認証処理を開始する第2の認証ステップと、
    を備えることを特徴とする認証方法。
  19. 前記第2の認証処理の結果に基づいて前記ネットワークとの通信を開始する第2の通信開始ステップと、
    前記ネットワークとの通信と並行して前記第1の認証処理を開始する追加認証ステップと、
    を備えること特徴とする請求項17又18に記載の認証方法。
  20. 前記第2の認証処理において、前記無線通信装置が前記認証情報を前記基地局に対して送信することを特徴とする請求項17乃至19に記載の認証方法。
  21. 前記第1の認証処理が前記無線通信装置と前記基地局と接続された認証装置との間で実行され、
    前記認証情報が、前記認証装置から送信され、前記認証装置が設定する証明情報を含むことを特徴とする請求項16乃至20に記載の認証方法。
  22. 前記第1の認証処理が前記無線通信装置と前記基地局との間で実行され、
    前記認証情報が前記基地局から送信され、前記基地局が設定する証明情報を含むことを特徴とする請求項16乃至20に記載の認証方法。
  23. 前記認証情報が無効となった場合に前記第1の認証処理を再度開始する再認証ステップを備えることを特徴とする請求項16乃至22に記載の認証方法。
  24. 少なくとも1つの基地局と前記基地局と接続されたネットワークとを含む通信システムにおける、前記基地局のいずれかを介して前記ネットワークと通信する無線通信装置の認証方法であって、
    前記無線通信装置がネットワークとの通信の開始に必要な第1の認証処理を開始する初期認証ステップと、
    前記初期認証ステップにおける前記第1の認証処理の結果に基づいて前記無線通信装置が前記ネットワークとの通信を開始する通信開始ステップと、
    前記無線通信装置が前記初期認証ステップにおける前記第1の認証処理の結果に基づく認証情報を記憶する認証情報記憶ステップと、
    第1の通信開始ステップを実行した後、前記無線通信装置が前記基地局のいずれかとの通信を終了する通信中断ステップと、
    前記通信終了ステップを実行した後、
    前記無線通信装置が前記ネットワークとの通信の開始に必要な前記認証情報を記憶していない場合には前記第1の認証処理を開始し、前記ネットワークとの通信に必要な前記認証情報を記憶している場合には前記認証情報に基づいて前記第1の認証処理と異なる第2の認証処理を開始する認証ステップと、
    前記認証ステップにおける前記第1の認証処理又は前記第2の認証処理に基づいて前記無線通信装置が前記ネットワークとの通信を再開する通信再開ステップと、
    を備えることを特徴とする認証方法。
JP2003343299A 2003-10-01 2003-10-01 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。 Pending JP2005110112A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2003343299A JP2005110112A (ja) 2003-10-01 2003-10-01 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。
EP04023338A EP1521491A2 (en) 2003-10-01 2004-09-30 Control method for a wireless communication system, wireless communication device, base station and authentication device in the communication system
US10/953,015 US20050076244A1 (en) 2003-10-01 2004-09-30 Control method for wireless communication system, wireless communicaction device, base station, and authentication device in communication system
CNA2004100807322A CN1604520A (zh) 2003-10-01 2004-10-08 无线通信系统的控制方法,无线通信设备、基站及认证设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003343299A JP2005110112A (ja) 2003-10-01 2003-10-01 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。

Publications (1)

Publication Number Publication Date
JP2005110112A true JP2005110112A (ja) 2005-04-21

Family

ID=34309109

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003343299A Pending JP2005110112A (ja) 2003-10-01 2003-10-01 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。

Country Status (4)

Country Link
US (1) US20050076244A1 (ja)
EP (1) EP1521491A2 (ja)
JP (1) JP2005110112A (ja)
CN (1) CN1604520A (ja)

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007124643A (ja) * 2005-10-13 2007-05-17 Mitsubishi Electric Information Technology Centre Europa Bv 移動端末のハンドオーバ手順を実行しなければならないかどうかを判断するための方法及びデバイス、移動端末のハンドオーバ手順の情報を転送するための方法及びデバイス、コンピュータプログラム、並びに第1の基地局及び第2の基地局から転送される信号
JP2008236483A (ja) * 2007-03-22 2008-10-02 Sanyo Electric Co Ltd 通信方法ならびにそれを利用した端末装置および基地局装置
JP2008270884A (ja) * 2007-04-16 2008-11-06 Oki Electric Ind Co Ltd 通信装置収容装置、通信装置、認証状況推定装置、認証システム、認証プログラム及び認証方法
JP2011198227A (ja) * 2010-03-23 2011-10-06 Nec Personal Products Co Ltd サーバ装置、機器関連付け方法、機器関連付けプログラム及びインストーラ
JP2012502587A (ja) * 2008-09-12 2012-01-26 クゥアルコム・インコーポレイテッド チケットベースのスペクトル認証およびアクセス制御
JP2012502586A (ja) * 2008-09-12 2012-01-26 クゥアルコム・インコーポレイテッド チケットベースの構成パラメータ有効確認
WO2014109409A1 (ja) * 2013-01-11 2014-07-17 京セラ株式会社 通信端末及び記憶媒体
JP2015079376A (ja) * 2013-10-17 2015-04-23 キヤノン株式会社 認証サーバーシステム、制御方法、そのプログラム
JP2015517747A (ja) * 2012-05-03 2015-06-22 ゼットティーイー コーポレーションZte Corporation モバイル装置の認証方法、装置及びシステム
US9148335B2 (en) 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses

Families Citing this family (30)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7029702B2 (en) * 1998-07-07 2006-04-18 Ritter Natural Sciences Llc Method for increasing lactose tolerance in mammals exhibiting lactose intolerance
JP4564957B2 (ja) * 2004-03-08 2010-10-20 グローバルフレンドシップ株式会社 電子端末装置保護システム
DE102004047750A1 (de) * 2004-09-30 2006-04-27 Siemens Ag Verfahren und Anordnung zum Verwalten von Dokumenten in elektronischen Dokumentenordnern
CN101065926A (zh) * 2004-11-23 2007-10-31 法国电信公司 通过电信网络授予和行使权利
US8462727B2 (en) * 2006-03-10 2013-06-11 Motorola Mobility Llc Method and system for streamlined call setup
JP2007323186A (ja) * 2006-05-30 2007-12-13 Canon Inc 印刷制御データ生成装置、印刷管理装置、及び印刷装置
JP5018315B2 (ja) * 2006-09-14 2012-09-05 ソニー株式会社 無線通信システム、無線通信装置、無線通信装置の認証方法、および、プログラム
US8045522B2 (en) * 2006-10-27 2011-10-25 Futurewei Technologies, Inc. Method and system for performing handoff in wireless networks
JP4777229B2 (ja) * 2006-12-20 2011-09-21 キヤノン株式会社 通信システム、管理装置、管理装置の制御方法、及び当該制御方法をコンピュータに実行させるためのコンピュータプログラム
US7974622B1 (en) * 2007-01-16 2011-07-05 Sprint Communications Company L.P. Provisioning system for fixed vs. nomadic wireless services
GB2448003A (en) * 2007-03-08 2008-10-01 Siemens Ag Controlling information requests in a communications network to prevent congestion
JP5023804B2 (ja) * 2007-05-16 2012-09-12 コニカミノルタホールディングス株式会社 認証方法及び認証システム
US8032181B2 (en) 2007-09-01 2011-10-04 Apple Inc. Service provider activation with subscriber identity module policy
US7929959B2 (en) 2007-09-01 2011-04-19 Apple Inc. Service provider activation
US20090141661A1 (en) * 2007-11-29 2009-06-04 Nokia Siemens Networks Oy Residual traffic state for wireless networks
EP2385715B1 (en) * 2007-12-11 2015-07-01 Telefonaktiebolaget L M Ericsson (publ) Methods and apparatuses for generating a radio base station key and a terminal identity token in a cellular radio system
US10078361B2 (en) 2014-10-08 2018-09-18 Apple Inc. Methods and apparatus for running and booting an inter-processor communication link between independently operable processors
JP6489835B2 (ja) * 2015-01-09 2019-03-27 キヤノン株式会社 情報処理システム、情報処理装置の制御方法、及びプログラム
CN104993954B (zh) * 2015-06-24 2019-01-11 深圳市金正方科技股份有限公司 智能电表识别终端的方法及系统
JP7034682B2 (ja) * 2017-11-27 2022-03-14 キヤノン株式会社 通信装置、通信装置の制御方法、プログラム
US11792307B2 (en) 2018-03-28 2023-10-17 Apple Inc. Methods and apparatus for single entity buffer pool management
US10846224B2 (en) 2018-08-24 2020-11-24 Apple Inc. Methods and apparatus for control of a jointly shared memory-mapped region
US11558348B2 (en) 2019-09-26 2023-01-17 Apple Inc. Methods and apparatus for emerging use case support in user space networking
US11829303B2 (en) 2019-09-26 2023-11-28 Apple Inc. Methods and apparatus for device driver operation in non-kernel space
US11606302B2 (en) 2020-06-12 2023-03-14 Apple Inc. Methods and apparatus for flow-based batching and processing
US11775359B2 (en) 2020-09-11 2023-10-03 Apple Inc. Methods and apparatuses for cross-layer processing
US11954540B2 (en) 2020-09-14 2024-04-09 Apple Inc. Methods and apparatus for thread-level execution in non-kernel space
US11799986B2 (en) 2020-09-22 2023-10-24 Apple Inc. Methods and apparatus for thread level execution in non-kernel space
US11882051B2 (en) 2021-07-26 2024-01-23 Apple Inc. Systems and methods for managing transmission control protocol (TCP) acknowledgements
US11876719B2 (en) 2021-07-26 2024-01-16 Apple Inc. Systems and methods for managing transmission control protocol (TCP) acknowledgements

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7107051B1 (en) * 2000-09-28 2006-09-12 Intel Corporation Technique to establish wireless session keys suitable for roaming
FI115098B (fi) * 2000-12-27 2005-02-28 Nokia Corp Todentaminen dataviestinnässä
US20030084287A1 (en) * 2001-10-25 2003-05-01 Wang Huayan A. System and method for upper layer roaming authentication
US20030095663A1 (en) * 2001-11-21 2003-05-22 Nelson David B. System and method to provide enhanced security in a wireless local area network system
JP3870081B2 (ja) * 2001-12-19 2007-01-17 キヤノン株式会社 通信システム及びサーバ装置、ならびに制御方法及びそれを実施するためのコンピュータプログラム、該コンピュータプログラムを格納する記憶媒体
US8942375B2 (en) * 2002-09-17 2015-01-27 Broadcom Corporation Method and system for providing multiple encryption in a multi-band multi-protocol hybrid wired/wireless network
KR100480258B1 (ko) * 2002-10-15 2005-04-07 삼성전자주식회사 무선 근거리 네트워크에서 고속 핸드오버를 위한 인증방법
US20040236939A1 (en) * 2003-02-20 2004-11-25 Docomo Communications Laboratories Usa, Inc. Wireless network handoff key
US20050076198A1 (en) * 2003-10-02 2005-04-07 Apacheta Corporation Authentication system

Cited By (15)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007124643A (ja) * 2005-10-13 2007-05-17 Mitsubishi Electric Information Technology Centre Europa Bv 移動端末のハンドオーバ手順を実行しなければならないかどうかを判断するための方法及びデバイス、移動端末のハンドオーバ手順の情報を転送するための方法及びデバイス、コンピュータプログラム、並びに第1の基地局及び第2の基地局から転送される信号
JP2008236483A (ja) * 2007-03-22 2008-10-02 Sanyo Electric Co Ltd 通信方法ならびにそれを利用した端末装置および基地局装置
JP2008270884A (ja) * 2007-04-16 2008-11-06 Oki Electric Ind Co Ltd 通信装置収容装置、通信装置、認証状況推定装置、認証システム、認証プログラム及び認証方法
US8913995B2 (en) 2008-09-12 2014-12-16 Qualcomm Incorporated Ticket-based configuration parameters validation
JP2012502587A (ja) * 2008-09-12 2012-01-26 クゥアルコム・インコーポレイテッド チケットベースのスペクトル認証およびアクセス制御
JP2012502586A (ja) * 2008-09-12 2012-01-26 クゥアルコム・インコーポレイテッド チケットベースの構成パラメータ有効確認
US8548467B2 (en) 2008-09-12 2013-10-01 Qualcomm Incorporated Ticket-based configuration parameters validation
US8862872B2 (en) 2008-09-12 2014-10-14 Qualcomm Incorporated Ticket-based spectrum authorization and access control
US9148335B2 (en) 2008-09-30 2015-09-29 Qualcomm Incorporated Third party validation of internet protocol addresses
JP2011198227A (ja) * 2010-03-23 2011-10-06 Nec Personal Products Co Ltd サーバ装置、機器関連付け方法、機器関連付けプログラム及びインストーラ
JP2015517747A (ja) * 2012-05-03 2015-06-22 ゼットティーイー コーポレーションZte Corporation モバイル装置の認証方法、装置及びシステム
US9374705B2 (en) 2012-05-03 2016-06-21 Zte Corporation Methods, devices and system for verifying mobile equipment
WO2014109409A1 (ja) * 2013-01-11 2014-07-17 京セラ株式会社 通信端末及び記憶媒体
JPWO2014109409A1 (ja) * 2013-01-11 2017-01-19 京セラ株式会社 通信端末及び記憶媒体
JP2015079376A (ja) * 2013-10-17 2015-04-23 キヤノン株式会社 認証サーバーシステム、制御方法、そのプログラム

Also Published As

Publication number Publication date
EP1521491A2 (en) 2005-04-06
CN1604520A (zh) 2005-04-06
US20050076244A1 (en) 2005-04-07

Similar Documents

Publication Publication Date Title
JP2005110112A (ja) 通信システムにおける無線通信装置の認証方法及び無線通信装置及び基地局及び認証装置。
US8046583B2 (en) Wireless terminal
US7158777B2 (en) Authentication method for fast handover in a wireless local area network
US7127234B2 (en) Radio LAN access authentication system
US7236477B2 (en) Method for performing authenticated handover in a wireless local area network
KR101101060B1 (ko) 이동국 전이 방법 및 컴퓨터 판독가능 매체
JP3570310B2 (ja) 無線lanシステムにおける認証方法と認証装置
US7783756B2 (en) Protection for wireless devices against false access-point attacks
US10798082B2 (en) Network authentication triggering method and related device
US7848513B2 (en) Method for transmitting security context for handover in portable internet system
EP1775972A1 (en) Communication handover method, communication message processing method, and communication control method
JP2007505531A (ja) 安全なドメイン内およびドメイン間ハンドオーバ
US10582378B2 (en) Message protection method, user equipment, and core network device
KR101460766B1 (ko) 무선 네트워크 시스템에서 클러스터 기능을 이용한 보안설정 시스템 및 그 제어방법
CN102970680A (zh) 网络切换方法及装置
JP5043928B2 (ja) 暗号化および整合性のために使用されるキーを処理する方法および装置
JP2004072631A (ja) 無線通信における認証システム、認証方法及び端末装置
JP2007282129A (ja) 無線情報伝送システム、無線通信端末及びアクセスポイント
JP2006041594A (ja) 移動通信システムおよび移動端末の認証方法
JP2008048212A (ja) 無線通信システム、無線基地局装置、無線端末装置、無線通信方法、及びプログラム
KR101434750B1 (ko) 이동통신망에서 지리 정보를 이용한 무선랜 선인증 방법 및 장치
KR100549918B1 (ko) 공중 무선랜 서비스를 위한 무선랜 접속장치간 로밍서비스 방법
KR101940722B1 (ko) 개방형 와이파이 존에서 사용자 단말기를 위한 통신 보안 제공 방법
JP5240865B2 (ja) セキュリティ方式切替システム、セキュリティ方式切替方法及びそのプログラム
JPWO2008075626A1 (ja) 通信端末認証システム、インターネットを使用した電話システム

Legal Events

Date Code Title Description
RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20050315

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060914

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20070118

RD01 Notification of change of attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7421

Effective date: 20080619

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20081017

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20081028

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090310